SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Zscaler】Okta連携手順 (SAML/SCIM) ~ZPA編~

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【Zscaler】Okta連携手順 (SAML/SCIM) ~ZPA編~
セキュリティ
2024.02.26

はじめに

本記事は、Zscaler Private Access (ZPA) のIDaaS連携に関する内容です
Zscalerを利用する際の認証基盤として、OktaでのSAML連携が可能です。
ZscalerとOktaの連携によって、あらゆる場所やデバイスからインターネットおよびSaaS、社内リソースなどへの高速かつ安全なアクセスを実現します。
今回は、ZPAとOktaの連携におけるSAMLおよびSCIMの設定手順についてご紹介します。

Oktaとは
クラウド型のID管理・統合認証サービスです。
認証情報を統合的に管理し、シングルサインオン (SSO) や多要素認証を可能にします。

ZscalerとOkta連携の詳細な手順については、下記オンラインヘルプを参照してください。

Zscalerドキュメント
Okta用設定ガイド
ZscalerとOktaの展開ガイド

 

目次

  1. 概要
  2. Oktaログイン
  3. Okta設定 (1):ZPAアプリケーション追加
  4. ZPA設定
  5. Okta設定 (2):サインオン
  6. SCIMプロビジョニングの有効化 (任意)
  7. ユーザ/グループへの割り当て
  8. グループのプッシュ設定 (任意)
  9. SAML属性インポート (任意)
  10. まとめ

 

1. 概要

SAML
SAML (Security Assertion Markup Language) は、シングルサインオン (SSO) を実現するための認証方式の一つで、ZPAでは必須の認証方法です。
ユーザがZscalerにアクセスすると、Zscaler (SP) とOkta (IdP) の間でやりとりが生じます。
Okta側でユーザのIDやアクセス権が検証されると、Zscalerへのアクセスが許可または拒否されます。

 Identity Provider (IdP)
 認証情報を管理、提供するシステム。 ※本構成ではOkta

 Service Provider (SP)
 認証情報を利用するSaaS等のサービス。 ※本構成ではZscaler

SCIM
SCIM (System for Cross-domain Identity Management) は認証情報をIdPやSP間で共有することを指し、IDプロビジョニングの自動化を可能にします。ユーザがIdP (Okta) データベースに追加されると、ユーザ情報が自動的にSP (Zscaler) データベースにプロビジョニングされます。

※前提条件
Oktaで利用しているドメイン名をZscalerに申請し、ZPA側に追加しておく必要があります。

zpa-okta_01.png

 

2. Oktaログイン

ZscalerとOktaを連携するにあたり、Oktaへの管理者権限でのログインが必要となります。
Okta管理ポータルにアクセスし、管理者アカウントでログインします。

Fig1.png

 

3. Okta設定 (1):ZPAアプリケーション追加

Zscalerへの認証とプロビジョニングに必要なアプリケーションを追加します。

アプリケーション > アプリケーションを選択します。
②「アプリ・カタログを参照」をクリックします。

Fig2.png

③「zscaler」と検索してZscaler Private Access 2.0」のアプリケーションを選択します。

zpa-okta_02.png

④「統合を追加」をクリックします。

zpa-okta_03.png

Zscaler Private Access 2.0を追加すると初期設定画面が表示されます。

⑤「アプリケーションの可視性」にチェックを入れ、「完了」をクリックします。

zpa-okta_04.png

 

4. ZPA設定

ZPAの設定で必要となるOktaメタデータファイルを入手します。

①「サインオン」タブを選択します。
②「SAMLの設定手順を表示」をクリックします。

zpa-okta_05.png

③メタデータをXMLファイルとして保存します。このファイルはZPAの設定で使用します。
④ウィンドウを閉じてZPA管理者ポータルを開きます。

zpa-okta_06.png

OktaIdPとして追加するため、ZPA管理ポータルにログインします。

⑤Authentication > User Authentication > IdP Configurationを選択します。
IdP Configurationタブで「Add IdP Configuration」をクリックします。

zpa-okta_07.png

Add IdP Configurationウィンドウが開きます。
⑧IdPの名前を入力します。
Single Sign-Onで「User」を選択します。
⑩認証ドメインを選択します。
⑪「Next」をクリックします。

zpa-okta_08.png

Service Provider URLService Provider Entity IDをコピーして保存します。
⑬「Next」をクリックします。

zpa-okta_09.png

IdP Metadata Fileで保存したメタデータファイルをアップロードします。
 「IdP Certificate」「Single Sign-On URL」「IdP Entity ID」の情報が自動的に入力されます。

zpa-okta_10.png

StatusHTTP-Redirect を「Enabled」にします。
ZPA (SP) SAML Request を「Signed」にします。
SCIM Sync SCIM Attributes for Policy を「Enabled」にします。
⑱「Generate New Token」をクリックします。
SCIM Service Provider Endpoint URL Bearer Token をコピーして保存します。

zpa-okta_11.png

 

5. Okta設定 (2):サインオン

Oktaの管理ポータルに戻り、サインオンの設定を行います。

①サインオンタブを選択します。
②「編集」をクリックします。

zpa-okta_12.png

③「SAML 2.0」を選択します。
④GroupNameのドロップダウンメニューから「Matches regex」を選択します。
⑤「.* (ピリオド、アスタリスク)」 を入力します。

zpa-okta_13.png

⑥サービス・プロバイダーURLに4 ⑫でコピーした「Service Provider URL」をペーストします。
サービス・プロバイダー・エンティティID4 でコピーした「Service Provider Entity ID」をペーストします。
⑧「保存」をクリックします。

zpa-okta_14.png

 

6. SCIMプロビジョニングの有効化 (任意)

SCIMプロビジョニングの設定をします。

プロビジョニングタブを選択し、「API統合を構成」をクリックします。

zpa-okta_15.png

②「API統合を有効化」を選択
ベースURL4 でコピーした「SCIM Service Provider Endpoint URL」を入力します。
API トークン4 でコピーした「Bearer Token」の値を入力します。
⑤「API資格情報をテスト」を選択します。エラーが表示された場合は、URLとトークンを再度コピー、
 新しいトークンを生成、ZPA設定が保存されていることを確認してください。
認証情報を確認したら、「保存」をクリックします。

zpa-okta_16.png

プロビジョニングタブ内の「アプリへ」を選択します。
⑧「編集」をクリックします。

zpa-okta_17.png

ユーザを作成ユーザ属性を更新ユーザの非アクティブ化にチェックを入れます。
⑩「保存」をクリックします。

zpa-okta_18.png

 

7. ユーザ/グループへの割り当て

Oktaで認証を行うユーザに対して、ZPAアプリケーションを割り当てます。

割り当てタブを選択し、「割り当て」をクリックします。
②「ユーザに割り当てる」または「グループに割り当て」を選択します。

zpa-okta_19.png

③ユーザまたはグループを選択し、「割り当て」をクリックします。
④「完了」をクリックします。

zpa-okta_20.png

 

8. グループのプッシュ設定 (任意)

SCIMを利用している場合、Okta側で保持しているグループ情報がZPAにプッシュされます。
Oktaデータベースへの追加、移動、変更は即座にZscalerにプッシュされます。
ZPAにプッシュするグループを選択する手順は以下の通りです。 

グループをプッシュタブから、「グループをプッシュ」を選択します。
②「名前でグループを検索」を選択します。

zpa-okta_21.png

③「グループ・メンバーシップをただちにプッシュする」を選択します。
④グループ名を検索して追加します。
⑤「保存してほかにも追加」または、グループの追加が完了した場合は「保存」をクリックします。
 選択したグループは即座にプッシュされ、グループへの変更は直ちにZscalerに同期されます。

zpa-okta_22.png

 

9. SAML属性インポート (任意)

SCIM利用時に、OktaからSAML属性をインポートする手順は以下の通りです。
ZPA管理ポータルから設定を行います。

①Authentication > User Authentication > IdP Configurationタブを選択します。
②IdP名の左にある展開アイコンをクリックします。
Import SAML Attributesの下にある「Import」をクリックします。

zpa-okta_23.png

SAML属性とSAMLアサーションが表示されます。
正常に動作しない場合は、シークレットウィンドウにて再試行してください。

SAML属性のマッピングを確認します。
⑤「Save」をクリックします。

zpa-okta_24.png

SAML Attributesタブを開くと、保存されたSAML属性が表示されます。

zpa-okta_25.png

 

10. まとめ

今回はZPAとOktaを連携して、SAMLとSCIMを設定する手順をご紹介しました。
SAML連携によって、ユーザはOkta側で持つ認証情報でZscalerのサービス利用が可能になります。
またSCIMでは、ユーザの自動プロビジョニングによって、より柔軟な管理が可能になります。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

【Zscaler】Okta連携手順 (SAML/SCIM) ~ZIA編~

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
中村 愛佳

Related Posts

関連記事